CA/B Forum keurt nieuwe methode goed voor verificatie van domeinbeheer met ALPN-extensie

Het CA/B Forum, de SSL-regulator, heeft met een meerderheid van stemmen voorstel SC33 aangenomen.

In het voorstel wordt bepaald dat de methode voor verificatie van eigendom van een domein in 3.2.2.4.10 (met willekeurige cijfers) nu is verouderd.  In plaats hiervan is een nieuwe clausule 3.2.2.4.20 opgenomen, waarmee het eigendom van de FQDN kan worden gecontroleerd met de ALPN-extensie.

Redenen voor de wijzigingen

In januari 2018 is een kwetsbaarheid ontdekt in de domeinvalidatiemgethode ACME TLS-SNI-01. Deze methode werd gebruikt als belangrijkste methode voor de implementatie van paragraaf 3.2.2.4.10 en werd ondanks de bestaande problemen toegepast. ALPN is een alternatief voor de ACME TLS-SNI-01-validatie en werd door de IETF als RFC 8737 gestandaardiseerd. Om deze reden heeft het CA/B Forum besloten de potentieel onveilige methode 3.2.2.4.10 niet meer te gebruiken, maar over te gaan op de nieuwe methode 3.2.2.4.20.

Het voorstel geeft geen details over een overgangsperiode voor de verificatiemethode 3.2.2.4.10. Geen van de eerder met deze methode uitgevoerde controles en verificatiegegevens die hiermee zijn verkregen, mogen worden gebruikt voor het uitgeven van certificaten.

Dit voorstel beperkt ook het gebruik van oude geverifieerde FQDN's. Voor verschillende subdomeinen zijn nieuwe verificaties vereist en verificaties met jokertekens zijn niet toegestaan.

Schrijf u in voor onze nieuwsbrief en onze socialenetwerkgroepen om op de hoogte te blijven van het laatste nieuws uit de wereld van SSL.